通过了解企业信息安全管理现状，面临的外部风险，同时结合企业需要满足的外部合规要求开展信息安全专项审计或合规检查，揭示企业面临的信息安全及合规风险，最终出具信息安全风险审计报告或者合规检查报告。确保企业能够客观知晓自身面临的各类风险，并为后续改进措施的制定和推动落地提供参考。

一、信息安全风险审计关注要点:

在一般控制审计部分，主要关注通用类的信息安全风险，包括组织架构、岗位职责、供应商管理、基础设施安全、业务连续性、项目安全风险管理、网络安全等方面；

在应用控制审计部分，主要关注针对特定信息系统的不同风险，包括业务相关风险跟踪、输入输出控制、信息系统性能、数据安全、代码安全、系统自身的特定风险；

二、信息安全风险审计工作过程

风险审计工作过程可分为审计准备、审计实施、报告编写、讨论定稿四大阶段：

1、在审计准备阶段，润星完成审计计划编制，向被审计对象发出审计计划和前期资料调阅清单，在审计团队进场前提供的资料开展初步风险分析，并下一阶段进驻现场开展工作做好准备。

2、做审计实施阶段，审计团队将开展现场制度调阅、信息安全相关人员访谈、关键场所现场检查等工作，并就现场审计过程中发现的问题进行事实确认书，审计所需各类信息收集之后，本阶段工作终止，进入下一阶段的报告稿编写。

3、在报告编写阶段，将整理现场审计期间记录的审计底稿，结合现场审计前的初步风险分析结果，开展更为详尽的风险分析工作，根据风险分析结果，编写信息安全审计报告初稿，在公司内部完成报告初稿审核并提交被审计对象。

4、在讨论定稿阶段，审计团队将就审计报告的征求意见稿与被审计对象进行沟通，根据被审计对象提供的反馈，结合被审计对象提供的补充资料，对审计报告征求意见稿进行修订完善并最终出具正式报告。

三、信息安全合规检查工作内容

润星顾问团队可根据客户方需要满足的不同来源合规要求对客户自身开展信息安全合规检查，也可以根据客户业务发展和风险管理需要，对客户的下属企业、分支机构、外包机构等开展合规检查，通过开展合规检查，了解被检查对象对于各类合规要求的符合情况，并针对检查发现的问题提供改进参考。

信息安全合规检查的检查依据包括但不限于以下类别：

1.行业主管部门或监管机构发布的合规要求（如人民银行、银监会、保监会等）

2.母公司或集团公司发布的各类合规要求

3.上市企业需要遵循的合规要求

4.跨国企业需要遵循的境外合规要求

5.企业针对外包方提出的各类管理要求

6.其它企业需要满足的合规要求等

四、信息安全检查一般遵循如下步骤开展

1. 检查准备

在检查准备阶段，根据被检查对象需要遵循的合规要求，梳理形成信息安全合规检查表并形成资料清单，同时根据被检查对象的实际工作安排，制定信息安全合规检查计划。

2. 现场检查

在确认被检查对象完成相关准备工作后，润星团队进驻对方办公现场，根据信息安全合规检查表开展现场检查工作，通过开展人员访谈、制度调阅、重要场所实地查看等方式进行现场检查工作。

3. 差距分析

完成现场检查后，对现状与合规要求进行比对，客观反映现状与合规要求之间的差距。

4. 报告编写

完成现场检查后，根据现场检查情况编写信息安全合规检查报告，对现场检查发现问题进行分析，并就发现的问题提出改进建议。